Crypto 的全球好似黑暗世界，你的身旁很有可能潛藏著成千上萬困境。近日，就會有黑客借著 OpenSea 合同更新之時，給全部用戶的電子郵箱推送了一封釣魚郵件，而許多用戶錯把其作為官方網(wǎng)電子郵件而將自身的錢包受權(quán)，從而造成錢包失竊。據(jù)調(diào)查，這一封電子郵件最少造成 3 個 BAYC、37 個 Azuki、25 個 NFT Worlds 等 NFT 失竊，依照木地板價測算，黑客收益便已達到 416 萬美金。

而就在同一天夜里，「All in NFT」的上海同濟大學生 Niq 長期性擁有的 1/1 Doodle 也失竊，緣故是另一方找 Niq 私底下商談買賣，在讓 Niq 放松警惕后發(fā)送給了他一個假的買賣網(wǎng)頁鏈接。

現(xiàn)如今，大家必須防護的黑客進攻不僅出現(xiàn)于技術(shù)性方面，還來源于社會工程學，再再加上諸多 NFT 新項目的價錢節(jié)節(jié)攀升，一不注意便會損害高額財產(chǎn)。由于近期 NFT 行業(yè)行騙高發(fā)，韻律匯總了幾種普遍的欺詐方式，期待廣大讀者時時刻刻保持警惕，不必受騙上當。

行騙方式

1、根據(jù) Discord 私聊詐騙網(wǎng)站連接

Discord 私聊連接是是黑客常見的騙錢方式，黑客通常會根據(jù) Discord 不一樣的小區(qū)大批量私聊組員，或者假冒小區(qū)管理人員以幫助解決困難為由私聊用戶，騙領(lǐng)錢包公鑰。或是上傳虛報的詐騙網(wǎng)站，告知用戶可以免費領(lǐng) NFT 這些。用戶一旦受權(quán)給黑客仿制的虛報網(wǎng)址，那麼就會給用戶產(chǎn)生較大的虧本。

2、進攻 Discord 網(wǎng)絡(luò)服務(wù)器

Discord 服務(wù)器被黑客進攻幾乎是每一個受歡迎的 NFT 新項目都是會經(jīng)過的事兒，黑客會攻擊網(wǎng)站管理人員的賬戶，以后在云服務(wù)器的每個頻道欄目公布假公示，騙小區(qū)組員去黑客早已構(gòu)建好的假網(wǎng)站出售假的 NFT。而現(xiàn)今的黑客會根據(jù)推送詐騙網(wǎng)站等方法騙領(lǐng)網(wǎng)絡(luò)服務(wù)器管理人員的 token，那樣即使管理人員打開 2FA 兩步驗證也無濟于事。而假如黑客構(gòu)建的詐騙網(wǎng)站會規(guī)定用戶錢包的受權(quán)，則會給用戶產(chǎn)生更為明顯的經(jīng)濟損失。

3、推送淘寶虛假交易連接

這類騙局多見于騙子與用戶私底下商談的 NFT 交易方式。Sudoswap、NFTtrader 等平臺交易激勵用戶根據(jù)私底下商談的方法「互換」彼此之間的 NFT 或 token，而這類服務(wù)平臺也為私底下商談成的買賣給予了安全防范措施，這針對 NFT 銷售市場而言原是一件好事，但現(xiàn)如今有黑客逐漸根據(jù)仿制的 Sudoswap、NFTtrader 網(wǎng)址開展行騙。

Sudoswap、NFTtrader 在商談進行后必須用戶進行一筆買賣，這一流程會形成一個確認訂單網(wǎng)址，彼此確定后展銷會根據(jù)智能合約全自動開展。騙子在一開始會裝作與你商討互換什么 NFT，并先給你展現(xiàn)一個確實網(wǎng)頁鏈接，接著明確提出對買賣開展改動，在投資者放松警惕后，騙子會上傳一個行騙連接，用戶點一下確定買賣后，錢包中相應的 NFT 便會被轉(zhuǎn)發(fā)給騙子的錢包中。

4、騙領(lǐng)助記詞

騙子會根據(jù)各類方式誘發(fā)用戶將公鑰或助記詞發(fā)給自身，例如構(gòu)建詐騙網(wǎng)站、裝作自已是來協(xié)助用戶的管理人員等，諸多個人行為均是因為減少用戶的當心，出其不意騙光公鑰和助記詞。

5、建立假的 Collection，在工程項目的 Discord 公布頻道欄目尋找買賣

虛報 NFT 合輯是在許多受歡迎新項目開售前最非常容易碰到的。當 NFT 盲盒正式啟動前，騙子會事先在 OpenSea 等 NFT 平臺交易提交名字相近的 NFT 合輯，而且提早根據(jù)官方網(wǎng)釋放出來的信息內(nèi)容精致的「室內(nèi)裝修」好這一合輯。真真正正的 NFT 合輯在沒發(fā)布的情形下，用戶優(yōu)先選擇會檢索到名稱更為貼近的合輯。有一些騙子為了更好地讓用戶堅信還會繼續(xù)生產(chǎn)制造多筆買賣，給現(xiàn)階段掛單的仿冒 NFT 推送 Offer 競價。

為了更好地節(jié)約服務(wù)平臺和新項目方的版稅提成，小區(qū)人員間會開展私底下交易，除開上文所提到的根據(jù)仿制 Sudoswap、NFTtrader 網(wǎng)址以外，也是有騙子根據(jù)在小區(qū)頻道欄目推送略低木地板價的假 NFT 合輯連接。用戶通常會在急切限時搶購小于木地板價 NFT 時忽視了 NFT 的真實有效進而上當受騙。

6、假電子郵件

絕大多數(shù)的 NFT 服務(wù)平臺都是會規(guī)定用戶綁定郵箱，以便捷用戶可以第一時間知曉自身 NFT 的買賣狀況，因而電子郵箱也成為了行騙猖獗的集中地。騙子通常會裝扮成 OpenSea 服務(wù)平臺的官網(wǎng)賬戶，以合同詳細地址必須改動或錢包必須再次認證等方法向用戶推送詐騙網(wǎng)站連接。近日 OpenSea 在發(fā)布合同更新以后，黑客就是以這些方法騙領(lǐng)用戶資產(chǎn)近 400 萬美金。截至寫稿日期，OpenSea 精英團隊依然在清查損傷用戶。

防詐騙手冊

1、 網(wǎng)站地址辨別

無論黑客選用哪種非常好的外包裝，和怎樣令你意亂神迷的語言敘述，在最后他偷去你的數(shù)據(jù)加密財產(chǎn)之時，自始至終要一個與你的錢包產(chǎn)生互動的方式。一般用戶也許不具有鑒別合同安全風險的工作能力，但幸運的是，大家到現(xiàn)在仍處于一個 web2 所核心的移動互聯(lián)網(wǎng)全球。幾乎任何的數(shù)據(jù)加密合同都必須依靠一個 web2 的前面網(wǎng)頁頁面來和用戶互動。

因而，幾乎絕大部分面對用戶（并非新項目方）的數(shù)據(jù)加密財產(chǎn)偷盜全是出現(xiàn)在假冒的詐騙網(wǎng)站以上。而一旦了解了怎樣辨別詐騙網(wǎng)站，將足夠幫你繞開 99% 的數(shù)據(jù)加密財產(chǎn)偷盜。

針對隨著著智能機發(fā)展下去的 Z 世世代代而言，她們生話在一個又一個 App 構(gòu)建的「綠色生態(tài)」當中，針對 web 網(wǎng)頁頁面這一老舊的事情也許已經(jīng)疏忽了解了。在 web2 時期，DNS 域名系統(tǒng)軟件為每一個網(wǎng)站授予了各大網(wǎng)站唯一的地位標志，掌握域名組成的主要標準，將足夠解決幾乎所有的虛報詐騙網(wǎng)站。

在傳統(tǒng)式的 DNS 域名中，域名等級分成三級。從第一個分隔符（/）逐漸從右至左閱讀文章，每一個句點分分隔一個等級。以 https://www.opensea.io/ 為例子「.io」和「.com」、「.cn」等相近，被稱作頂尖域名，該字段名不能自定。「opensea」被稱作二級域名，也即域名的行為主體，同一頂尖域名（例如同是.io）時該字段名不能反復。「www」一部分則為三級域名，該字段名網(wǎng)址經(jīng)營者可自主設(shè)定。乃至經(jīng)營者還可在「www」以前再次加上四級域名、五級域名。

域名的等級次序是反直覺的：即從右至左等級慢慢減少。這一設(shè)計方案與絕大多數(shù)人的閱讀習慣正好相反，也讓網(wǎng)絡(luò)攻擊擁有機會。舉例來說，https://www.opensea.io.example.com 該詳細地址盡管和 opensea 詳細地址相對高度類似，但其具體域名卻為「example.com」并非「opensea.io」。

Web3 是不是也有中間人攻擊大家還是難以預料。但在 Web2 的全世界里，DNS 域名系統(tǒng)軟件保障了域名（換句話說網(wǎng)站地址）的唯一性，在域名為確實狀況下，用戶幾乎不太可能開啟虛報網(wǎng)址。

2、不必泄漏公鑰或助記詞

Crypto 錢包并不像 Web2 的電子郵箱等帳戶，公鑰與助記詞沒法改動、找到，一旦泄漏就代表這一錢包將與此同時屬于你與黑客，你錢包內(nèi)全部的財產(chǎn)都能夠隨時隨地被黑客遷移，而因為以太幣詳細地址的匿名性，你也沒法查清黑客究竟是誰，損害當然也難以討回，這一錢包也不可以再接著應用。

3、立即撤銷錢包受權(quán)

假如你已經(jīng)在詐騙網(wǎng)站受權(quán)錢包，可以立即前去下列三個詳細地址查驗錢包受權(quán)狀況并立即撤銷：

https://etherscan.io/tokenapprovalchecker

https://revoke.cash/

https://debank.com/